Top-Themen: LÜKEX 2023: Die Mutter aller Krisenübungen ist in Planung | Da ist das Ding: Das BSI stellt den finalen Standard 200-4 vor | Risiko trifft Sicherheit: Die ISO 22342:2023 zeigt, wie Leitlinien und Sicherheitspläne ins Risikomanagement integriert werden können | Vermöbelt: Cyberangriff auf Möbelspezialist Häfele | Schmerzhaft: US-Krankenhaus schließt erstmals wegen eines Ransomware-Angriffs
Liebe Leserinnen und Leser,
Ransomware und Co. kennen keine Sommerferien: Cyberangriffe bestimmen nach wie vor die Schlagzeilen und sorgen bei den unterschiedlichsten Unternehmen für Betriebsunterbrechungen – von Möbelketten über Hosting-Anbieter bis hin zum Krankenhaus blieb keiner verschont. Aber auch abseits des Cyberspace sorgten klassische Stromausfälle, technische Störungen oder ganz banale Dinge wie ein falscher Tastendruck eines Mitarbeiters für folgenreiche Unterbrechungen des Betriebsablaufs. Passend dazu gibt es Bewegung an der regulatorischen Front. Das BSI hat den Standard 200-4 offiziell vorgestellt und die ISO kündigte den 22342:2023 an, der sehr vielseitig anwendbar sein soll. Zeitgleich plant das BBK für September die Durchführung seiner großen, übergreifenden Krisenübung.
Nach zweimaligem Verschieben soll nun im September dieses Jahres wieder eine groß angelegte Krisenübung mit Cyberszenario von Bundeswehr, Bundesbehörden und Kommunen durchgeführt werden. Unter der Federführung des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) finden diese länder- und ressortübergreifenden Planspiele bereits zum neunten Mal statt. Ohne dabei den Regelbetrieb zu beeinträchtigen, sollen insgesamt mehr als 50 Behörden und mehr als eintausend Mitarbeitende an der Übung teilnehmen.
Apropos BBK: Die Auswertung des bundesweiten Warntages 2022 liegt nun vor. Über 90 % der Bevölkerung wurden mit der Warnung erreicht, was als großer Erfolg gewertet wird. Die Teilnehmerzahl an der Befragung mit 833.000 Personen war hoch und das BBK erreichte viel positives Feedback seitens der Befragten. Durchaus interessant: Es gab keinen großen Unterschied zwischen der Warnung im städtischen gegenüber dem ländlichen Bereich zu vermelden. Aber: Individuelle Einstellungen der Mobiltelefone wie beispielsweise die Aktivierung des Standortes bleiben weiterhin ausschlaggebend für die Erreichbarkeit. Der nächste bundesweite Warntag ist für Donnerstag, den 14. September 2023 geplant.
Es ist soweit: Nachdem Anwenderinnen und Anwender in zwei Community-Draft-Phasen entsprechendes Feedback zum Entwurf geben konnten, wurde im Juni der finale BSI-Standard 200-4 im Rahmen des 3. IT-Grundschutz-Tages nun offiziell vorgestellt. Der modernisierte 200-4 knüpft an den 100-4 zum Notfallmanagement an und soll einen Beitrag zu ganzheitlicher Resilienz von Organisationen und Unternehmen leisten. Die Expertinnen und Experten von HiSolutions waren maßgeblich an der Ausgestaltung des Standards und der vom BSI bereitgestellten Hilfsmittel beteiligt. Letztere können auf den Seiten des BSI heruntergeladen und frei verwendet werden.
Auch die ISO wirft einen neuen Standard in den Ring: Die ISO 22342:2023 „Security and resilience – Protective security – Guidelines for the development of a security plan for an organization“ ist ein knapp gehaltener Standard für die Entwicklung und Instandhaltung von Sicherheitsplänen. Er ist auf alle Arten von Unternehmen anwendbar, unabhängig von deren Größe und Unternehmensform.
Es war vier Uhr morgens in Deutschland, als der Angriff der Hacker in Australien und Neuseeland entdeckt wurde. Alle eingeschalteten Rechner der weltweit agierenden Möbelkette waren betroffen. Das Unternehmen war jedoch vorbereitet und konnte anhand des eigens erarbeiteten Cyber-Incident-Handbuchs geeignete Notfallmaßnahmen ergreifen. Alle Rechner wurden vom Netz genommen, Belegschaft, Kunden und Lieferanten informiert und ein Krisenstab einberufen. Man entschloss sich dazu, nicht auf die Lösegeldforderungen einzugehen und den Schaden aus eigenen Kräften zu beheben. In der Folge kam es zu Unterbrechungen der Lieferketten und zu Kommunikationsproblemen.
Das Zitat des Artikels – Es gibt keinen hundertprozentigen Schutz – spricht für enorme Bedeutung eines BCM-Konzepts in der heutigen Unternehmenslandschaft. Gerade weil sich niemand zu einhundert Prozent vor einem Vorfall schützen kann, sollte man für den K-Fall vorbereitet sein. Im Nachgang des Vorfalls wurde das Sicherheitskonzept von Häfele stark überarbeitet: So wurden beispielsweise die Rolle des CISO sowie ein ISMS eingeführt und die IT-Architektur überarbeitet. Eine weitere Erkenntnis: die Relevanz einer proaktiven Kommunikation in einer Krise.
https://www.csoonline.com/de/a/es-gibt-keinen-hundertprozentigen-schutz,3680907
Fehler können jedem passieren – so auch den großen Playern wie Microsoft und Co. In diesem konkreten Fall wurde durch einen falschen Tastendruck eines Mitarbeiters eine gesamte Datenbank gelöscht. Ein banaler Fehler, der jedoch große Auswirkungen hatte. Trotz schneller Kenntnis des Vorfalls dauerte die Wiederherstellung fast elf Stunden. Grund dafür war unter anderem, dass es für solche Fälle kein automatisches Back-up gab. Dieser Fall ist ein Paradebeispiel dafür, dass im BCM nicht immer böswillige Akteure oder physische Katastrophen der Grund für eine Betriebsunterbrechung sind. Manchmal ist es einfach nur die menschliche Komponente, die dazu führt, dass Fehler passieren. Weil das unvermeidbar ist, sollten solche und ähnliche Schadensszenarien mit folgenreichen Auswirkungen im Rahmen einer BCM-Risikoanalyse näher betrachtet werden.
Normalerweise ist Redundanz kein Fremdwort an Flughäfen. Allerdings helfen auch keine doppelt und dreifach ausgelegten Systeme, wenn sie schlichtweg nicht anspringen. Im jüngsten Fall am Berliner Flughafen versagten die Notstromaggregate des Flugverkehrskontrollturms. Dies führte zu Einschränkungen im Flugbetrieb, der für einige Stunden andauerte. Zwischenzeitlich musste stattdessen auf die Nutzung von Batterien zurückgegriffen werden.
Ein weiterer Fall von Ransomware führte zu Ausfällen, diesmal traf es den Hosting-Anbieter Black Cat Networks. Zusätzlich zur Verschlüsselung der Systeme war auch der E-Mail-Verkehr innerhalb des Unternehmens nicht mehr möglich. Zudem konnte ein Abfluss von Daten nicht ausgeschlossen werden. Um die Wiederherstellung der Systeme kümmerte sich nach Angaben von Black Cat ein externes Unternehmen, welches auf diese Art von Vorfällen spezialisiert war. Ob die Zusammenarbeit im Rahmen eines Notfallplans so vorgesehen war oder nicht, ist nicht bekannt.
https://www.csoonline.com/de/a/black-cat-networks-von-ransomware-getroffen,3680913
Lang anhaltende Folgen eines Cyberangriffs legten für drei Wochen einen großen IT-Dienstleister im Gesundheitswesen lahm. Kunden der Bitmarck konnten ihrer Arbeit nicht mehr nachgehen oder nur eingeschränkt arbeiten. Ein großflächiger Ausfall, der so lange anhielt und so viele Kunden betraf und dann auch noch im Gesundheitswesen, darf nicht passieren und zeigt einmal mehr die Relevanz von BCM.
https://background.tagesspiegel.de/gesundheit/stunde-der-anwaelte
Gleich mehrere Seiten der Rheinischen Post Mediengruppe waren offline, als sich eine technische Störung beim hauseigenen IT-Dienstleister ereignete. Mittlerweile ist klar, dass es sich um einen Cyberangriff handelt. Aufgrund der technischen Einschränkungen wurden lediglich so genannte „Not-Ausgaben“ veröffentlicht. Um diese zu konzipieren, können Business Impact Analysen helfen. Sie identifiziert zeitkritische Geschäftsprozesse und unterstützt den Aufbau eines stabilen Notbetriebs.
Auch Krankenhäuser werden von Ransomware Angriffen nicht verschont. Dies verdeutlicht ein Fall im US-Bundesstaat Illinois, wo ein Krankenhaus Opfer einer solchen Attacke wurde. Der Angriff ereignete sich bereits 2021 und legte die Computersysteme des Krankenhauses monatelang lahm. Dies hatte zur Folge, dass entsprechend lange keine Gelder von Versicherungen und staatlichen Einrichtungen gefordert werden konnten. Die Langzeitschäden dieses Vorfalls gepaart mit Personalmangel und den Folgen der COVID-19-Pandemie waren für das Krankenhaus nicht mehr tragbar. Nun musste es schließen.
Dass Ransomware-Angriffe jede Art von Unternehmen treffen können, ist schon seit 2021 keine Neuigkeit mehr. Gerade im Bereich der Kritischen Infrastruktur, sollten dementsprechende Maßnahmen existieren, damit sich so ein Fall nicht ereignet. Insbesondere die Länge des Ausfalls von mehreren Monaten hatte schließlich fatale Folgen und zeugt von keinem wirklich gelebten BCM. Es bleibt zu hoffen, dass aus diesem Fall die richtigen Schlüsse gezogen werden und andere Gesundheitseinrichtungen in Zukunft ihr BCM nicht nur als regulatorische Anforderungen verstehen, sondern als sinnvolle präventive Maßnahme für den Fall der Fälle.
Auch hierzulande bleiben Organisationen im Gesundheitsumfeld nicht verschont. Ein Hackerangriff legte diesmal die Systeme des Medizinischen Dienst Niedersachsen (MDN) lahm. Seine Dienste waren insgesamt 14 Tage nicht erreichbar – eine schmerzhaft lange Ausfallzeit.
Aufgrund eines Cyber-Angriffs und im Rahmen des entsprechenden Notfallplans schaltete der Leasingverband vieler Sparkassen seine IT-Systeme präventiv ab. Man könne zwar noch Leasingverträge auf dem Papier abschließen, diese könnten dann aber nicht in die IT-Systeme übertragen werden. Auch die E-Mail-Systeme fielen aus. Wann die Dienste der Deutsche Leasing wieder verfügbar sind, war zunächst unklar.
https://www.heise.de/news/Cyber-Angriff-IT-der-Deutsche-Leasing-seit-Samstag-offline-9164777.html
Grund für die Einschränkungen war auch diesmal ein Cyberangriff. Die Website war zwischenzeitlich offline und die telefonische Erreichbarkeit waren zeitweise nicht mehr gegeben. Das schrittweise Wiederhochfahren des Onlineangebots spricht jedoch dafür, dass man bei ATU nicht völlig unvorbereitet auf ein solches Szenario war.
https://www.cio.de/a/einschraenkungen-bei-werkstattkette-atu,3712096
Die nächsten HiSolutions BCM-News erscheinen Mitte September 2023!
Lesen Sie hier alle bisher erschienenen BCM-News.
Für Rückfragen und Anregungen kontaktieren Sie uns gern!